Описание Маскируемся под виртуалку [fakevm] (1 Viewer)

Пользователи, которые просматривают: тема

Всего: 1 (пользователей: 0, гостей: 1)
Антоха

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 650
Sosyal-Medyada-Güvende-Miyiz-940x470.jpg
Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту функции антивиртуалки, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.
Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного
GitHub - theevilbit/fakevm: POC kernel driver to make a normal Windows desktop show up as a VM.
Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь HitmanPro.Alert который имеет эту функцию, а так же похожий инструмент который включает в себя и фейковые признаки наличия Olly Debugger.
Полная статья The Evil Bit Blog: Make your desktop a fake Virtual Machine to defend against malware
Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..

Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?

p.s. В дополнение к тексту выше - защита от вредоносных программ с помощью фейковых окон отладчика.
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 652
Репутация
7 825
Антоха сказал(а):
Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии
Нажмите, чтобы раскрыть...
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
 
The First

The First

:)
Форумчанин
Регистрация
19.08.2013
Сообщения
154
Репутация
50
Очень интересная тема, так сказать последний рубеж защиты. А появилось ли что-нибудь в этом направлении для рабочей системы?
 
A

asar

Пользователь
Форумчанин
Регистрация
23.02.2019
Сообщения
13
Репутация
2
Telegram
ICQ
0
X-Shar сказал(а):
Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
Нажмите, чтобы раскрыть...
Я считаю облако не очень надежной защитой, кто отменял блэклист у малвари для блокировки различными способами, а вот что касается темы очень интересно
 
Верх Низ